Exposé des motifs de la loi anti-blanchiment du 18 septembre 2017 - Article 19

Art. 19

Dans la pratique, les mesures de vigilance ont souvent pu être perçues à tort dans le passé comme réduites à l’identification et à la connaissance du client (mesures communément appelées « know your customer » ou « KYC »). Or les obligations générales de vigilance s'avèrent être bien plus étendues et doivent être comprises comme un ensemble cohérent de mesures visant à permettre aux entités assujetties d’identifier les opérations suspectes devant être déclarées à la CTIF. C’est la raison pour laquelle l’article 19, § 1er, en projet commence par rappeler que les obligations générales de vigilance se composent de trois obligations distinctes :

  • L’obligation d’identifier et de vérifier l’identité des clients et des bénéficiaires de contrats d’assurance-vie ainsi que, le cas échéant, de leurs mandataires et de leurs bénéficiaires effectifs (l’obligation d’identification et de vérification de l’identité, détaillée à la section 2) ; la notion d’assurance-vie est définie à l’article 4, 25°, comme étant un contrat d’assurance-vie au sens de ceux qui relèvent de la branche 21 visée à l’annexe II de la loi du 13 mars 2016 relative au statut et au contrôle des entreprises d’assurance ou de réassurance, mais également tout contrat d’assurance relevant d’une autre branche d’assurance (notamment ceux qui relèvent des branches 23, 25, 26 ou 27) dès lors que le risque de placement est supporté par le preneur d’assurance ;
  • L’obligation d’évaluer les caractéristiques du client et l'objet et la nature envisagée de la relation d'affaires (ou de l’opération occasionnelle) et, le cas échéant, d’obtenir à cet effet des informations les concernant (l’obligation d’identification des caractéristiques du client et de l'objet et de la nature envisagée de la relation d'affaires, détaillée à la section 3) ; et
  • L’obligation d'exercer une vigilance continue à l’égard des relations d’affaires et des opérations; cette obligation comprend deux volets : l’examen attentif des opérations effectuées et la tenue à jour des informations reçues (l’obligation de vigilance continue, détaillée à la section 4).

Ces trois obligations de vigilance sont déjà présentes dans la loi du 11 janvier 1993, mais de façon éparse. Par ailleurs, une importance très inégale leur est consacrée, l’obligation d’identifier l’objet et la nature de la relation d’affaires ne faisant, par exemple, l’objet que d’un alinéa dans un article consacré par ailleurs à l’identification des clients (article 7). Le projet de loi vise à rationaliser la présentation des trois obligations de vigilance et à mettre en exergue qu’il s’agit bien de trois obligations distinctes qui sont soumises à des régimes propres et qui doivent, chacune, être satisfaites par les entités assujetties.

L’article 19, § 2, vise à assurer la transposition de l’article 13, paragraphe 2, de la Directive 2015/849 en vertu duquel l’approche fondée sur les risques s’applique à chacune des obligations générales de vigilance. Il s’agit d’une nouveauté substantielle de la Directive qui vise à mettre la législation européenne en conformité avec la Recommandation 10 du GAFI. Désormais donc, toutes les mesures de vigilance appliquées par une entité assujettie – en ce compris les mesures visant à identifier les clients, leurs mandataires et leurs bénéficiaires effectifs et à vérifier l’identité de ces personnes – doivent être fonction de l’évaluation des risques de BC/FT réalisée par cette entité à l’égard de chaque relation d’affaire ou opération occasionnelle. Cette évaluation, appelée « évaluation individuelle des risques », devient donc un élément central du système mis en place par le projet de loi.

L’évaluation individuelle des risques consiste pour l’entité assujettie à analyser les risques de BC/FT liés à un client donné tenant compte de deux types d’éléments :

  • d’une part, l’ensemble des informations recueillies par l’entité assujettie en exécution des obligations de vigilance. Sont notamment visées les informations relatives à l’identité du client, de ses mandataires et de ses bénéficiaires effectifs, les informations relatives aux caractéristiques du client, à l’objet et à la nature de la relation d’affaires (ou de l’opération concernée) ainsi que toutes autres informations recueillies dans le cadre de la vigilance continue. Il s’agit donc des informations qui permettent de comprendre les particularités du client et de la relation d’affaires ou de l’opération concernée ;
  • d’autre part, les conclusions de l’évaluation globale des risques établie conformément à l’article 16 du projet de loi, ainsi que les variables que cette évaluation globale prend en compte, telles que, notamment, les facteurs de risque accru ou de risque faible visés aux annexes II et III au projet de loi, mais également les conclusions pertinentes du rapport établi par la Commission européenne et les organes de coordination et l’évaluation nationale des risques (cf. le commentaire de l’article 16). Pour rappel, l’évaluation globale des risques est une évaluation dite « business wide », plus objective que l’évaluation individuelle, spécifique à un client déterminé. L’obligation globale consiste, pour l’entité assujettie, à déterminer les risques auxquels elle est objectivement exposée, tenant compte de son activité et de la manière dont elle l’exerce (type de clientèle, zone géographique…). En réalité, l’évaluation globale définit le cadre général théorique, dans lequel l’évaluation individuelle du risque doit s’inscrire.

Il est cependant à noter que le chapitre 2 du présent titre identifie des situations dans lesquelles les risques doivent en toute hypothèse être considérés comme élevés et dans lesquelles les mesures spécifiques de vigilance accrue qui sont énumérées dans ledit chapitre 2 sont dès lors requises. Sans préjudice de l’application de ces mesures spécifiques, il y a également lieu que les entités assujetties tiennent compte de ces situations particulières lorsqu’elles procèdent à l’évaluation individuelle des risques associés à leurs clients.

A l’issue de l’évaluation individuelle, chaque client se verra attribuer un profil de risque élevé, standard ou faible. En fonction de son analyse globale des risques, l’entité assujettie pourrait être amenée à définir des sous-classifications des classifications des risques faibles ou élevés afin de s’assurer de la pertinence des mesures de vigilance applicables à chaque profil de risque.

De ce profil de risque découlera en effet notamment, sur la base de l’approche fondée sur les risques :

  • l’acceptation ou le refus du client conformément à la politique d’acceptation des clients définie par l’entité assujettie ;
  • la quantité d’informations à obtenir pour identifier les personnes visées par la loi et l’étendue des mesures de vérification à appliquer pour vérifier cette identité ;
  • l’étendue des mesures à prendre pour comprendre les caractéristiques du client, l’objet et la nature de la relation d’affaires (ou de l’opération) concernée ;
  • l’étendue des mesures à prendre dans le cadre de la vigilance continue, notamment en ce qui concerne  l’examen des opérations effectuées.

Lorsqu’une entité assujettie conclut, à l’issue de son évaluation individuelle des risques, à la présence d’un risque élevé, elle a l’obligation de renforcer les mesures de vigilance qu’elle applique. Ces mesures de vigilance accrues sont définies dans les politiques et mesures de contrôle interne de l’entité. La situation est différente en présence d’un risque faible. Dans ce cas en effet, il appartient à chaque entité assujettie de décider si, en présence d’un risque faible, elle applique des mesures de vigilance simplifiée ou si les mesures standards restent d’application. Cette décision prise ab initio (et non au cas par cas) doit être motivée et les mesures de vigilance simplifiées éventuelles doivent être définies dans les politiques et mesures de contrôle interne.

Les entités assujetties doivent à tout moment pouvoir démontrer aux autorités de contrôle compétentes que les mesures de vigilance qu'elles appliquent sont appropriées au regard des risques de BC/FT qu’elles ont identifiés dans le cadre de leur évaluation individuelle des risques.